本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 AWS Service Catalog 管理员授予权限
<a name="getstarted-iamadmin"></a>

作为目录管理员，您需要访问 AWS Service Catalog 管理员控制台视图和允许您执行以下任务的 IAM 权限：
+ 创建和管理产品组合
+ 创建和管理产品
+ 添加模板约束以控制最终用户在启动产品时可用的选项
+ 添加启动限制以定义最终用户启动产品时所 AWS Service Catalog 扮演的 IAM 角色
+ 授予最终用户对产品的访问权限

您或者管理您 IAM 权限的管理员必须将完成本教程所需的策略附加到您的 IAM 用户、组或角色。

**向目录管理员授予权限**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1.  在导航窗格中，展开**访问权限管理**，然后选择**角色**。如果您已创建希望用作目录管理员的 IAM 用户，请选择该用户名，然后选择**添加权限**。否则，请创建一个用户，如下所示：

   1.  选择**添加用户**。

   1.  对于 **User name**，键入 **ServiceCatalogAdmin**。

   1.  选择 **Programmatic access** 和 **AWS 管理控制台 access**。

   1.  选择**下一步：权限**。

1.  选择**直接附上现有策略**。

1.  选择**创建策略**，然后执行以下操作：

   1.  选择 **JSON** 选项卡。

   1.  复制下面的示例策略，然后将其粘贴到**策略文档** 中：

      ```
      {
          "Version": "2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "ec2:CreateKeyPair",
                      "iam:AddRoleToInstanceProfile",
                      "iam:AddUserToGroup",
                      "iam:AttachGroupPolicy",
                      "iam:CreateAccessKey",
                      "iam:CreateGroup",
                      "iam:CreateInstanceProfile",
                      "iam:CreateLoginProfile",
                      "iam:CreateRole",
                      "iam:CreateUser",
                      "iam:Get*",
                      "iam:List*",
                      "iam:PutRolePolicy",
                      "iam:UpdateAssumeRolePolicy"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

   1.  选择**下一步：标签**。

   1.  （可选）选择**添加标签**以便将键值对与资源关联。您最多可添加 50 个标签。
**注意**  
 标签是可以添加到资源的键值对。其可以用于识别、组织和搜索资源。有关更多信息，请参阅《*AWS 一般参考 参考指南》*中的为[AWS 资源添加标签](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)。

   1.  选择**下一步：审核**。

   1.  对于 **Policy Name**，键入 **ServiceCatalogAdmin-AdditionalPermissions**。
**重要**  
 您必须向管理员 Amazon S3 授予访问 AWS Service Catalog 存储在 Amazon S3 中的模板的权限。有关更多信息，请参阅*《Amazon Simple Storage Service 用户指南》*中的[用户策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-policies-s3.html)。

   1.  请选择**创建策略**。

1. 返回包含权限页面的浏览器窗口，然后选择 **Refresh**。

1. 在搜索字段中，键入 **ServiceCatalog** 以筛选策略列表。

1. 选择 **`AWSServiceCatalogAdminFullAccess`**、**`ServiceCatalogAdmin-AdditionalPermissions`** 策略的复选框，然后选择**下一步：审核**。

1. 如果您要更新用户，请选择 **Add permissions**。

   如果您要创建用户，请选择 **Create user**。您可以下载或复制凭证，然后选择 **Close**。

1. 要以目录管理员身份登录，请使用账户特定的 URL。要查找此 URL，请在导航窗格中选择 **Dashboard**，然后选择 **Copy Link**。将链接粘贴到您的浏览器中，然后使用您在此过程中创建或更新的 IAM 用户的名称和密码。